| エンタープライズ:ニュース | 2003/03/20 22:02:00 更新 |
4月開始の「情報セキュリティ監査制度」で何が変わる?
経済産業省では4月1日をめどに、「情報セキュリティ監査制度」を開始する予定だ。日本ネットワークセキュリティ協会が3月18日に行ったセミナーでは、経済産業省情報セキュリティ政策室の山崎琢矢氏により、同制度についての解説が行われた。
経済産業省では4月1日をめどに、「情報セキュリティ監査制度」をスタートさせる予定である。企業や政府などの情報セキュリティ対策について客観的な評価を行うことにより、セキュリティの向上・確保を図ることが目的だ。
一方で、同省所管の公益法人である日本情報処理開発協会(JIPDEC)では、昨年より「情報セキュリティマネジメントシステム(ISMS)適合性評価制度」を展開している。技術的な側面だけでなく、運用・管理面などマネジメントに対する視点も踏まえて、情報セキュリティ管理システムが適切に構築・運用されているかを評価、審査するものだ。4月からは、経営者層の責任関与やマネジメントプロセスの導入などを盛り込んだ「ISMS認証基準(Ver.2.0)」の運用が予定されている。
では、情報セキュリティ監査制度とISMS適合性評価制度とでは、いったい何が違うのだろう? わざわざ2つもこのような制度を運用する必要があるのだろうか? 経済産業省の答はもちろん「イエス」だ。
日本ネットワークセキュリティ協会が3月18日に行ったセミナーの中で、経済産業省情報セキュリティ政策室の山崎琢矢氏は次のように述べた。「ISMS適合性評価制度と情報セキュリティ監査制度は別々のもの。前者は、情報セキュリティ対策が一定の基準以上に達しているという、いわば“お墨付き”を与えるものであるのに対し、後者は“助言”や“一部の保証”を利用しながら、段階的にセキュリティレベルを向上させていく。もちろん両方とも重要であり、経済産業省としてはどちらも推進していく」(同氏)。
「助言による段階的なセキュリティレベル向上」を強調した山崎氏
ISMS認証との違いとは?
山崎氏によると、情報セキュリティ監査制度にはいくつかの特徴がある。例えば、「情報システム」だけでなく「情報資産」のセキュリティ確保も視野に入れていること、「全体」に対する保証・助言だけでなく「一部」という概念も組み入れていること、必要に応じてウイルス対策など他の基準を追加し、カスタマイズを図れること、それに、現状と目指すべき基準との間のギャップを指摘することでそれを是正し、段階的なレベル向上を図ることなどだ。何よりも大きな違いは、ISMS適合性評価制度が主に「保証」を念頭に置いたものであるのに対し、情報セキュリティ監査制度はまず「助言」を重視していることである。
こうした特徴を持つことで、情報セキュリティ監査制度はISMS適合性評価制度との間で相乗効果を生み出せると山崎氏は述べた。
世の中にはさまざまな組織や企業がある。そのセキュリティ意識もまちまちだ。ISMS適合性評価制度で認定を取得できるだけのマネジメントサイクルを確立している企業もあれば、一方で、セキュリティポリシーが空文化していたり、あるいはポリシーそのものが存在しない企業もある。
情報セキュリティ監査制度は、セキュリティポリシーすら存在しないといった企業に対しても、現状把握と助言、一部分への保証を提供し、セキュリティレベル向上のための措置を取れるよう支援するものだ。たとえ、そのセキュリティ対策がISMSが求める基準をずっと下回っている組織でも、同制度を活用することで、それまで欠けていたセキュリティ対策を取り、目標とすべきレベルとのギャップを埋めていくことができる。さらには、こうして徐々に組織のセキュリティレベルを向上させていった後、しかるべき段階でISMS認証を取得するといった流れにもっていくことが、同省の狙いの1つでもある。
山崎氏は、そもそもどちらの制度もJIS X 5080(ISO/IEC17799、その前身はBS7799)をベースとしており、整合性に問題はないと指摘。さらに「情報セキュリティ監査制度は、ISMS適合性評価制度の裾野を広げるともに、同認証取得後にも必要な部分に応じて重点的にセキュリティ強化を図れるという効果をもたらす関係にある」と述べた。
「経済産業省に情報セキュリティ政策室が設置されてから3年。この間、暗号技術評価事業の“CRYPTREC”やISO15408(JIS X 5070)に基づくセキュリティ評価、電子署名法やISMS適合性評価制度などに取り組んできた。情報セキュリティ監査制度はその最後の布石だ」(山崎氏)
4月頭の告示で本格スタート
情報セキュリティ監査制度は、4月1日に告示が予定されている複数の規則によって、本格的に開始される予定だ。同制度は主に2つの柱からなっている。
1つは、情報セキュリティ監査に関する標準的な基準の策定だ。これには、JIS X 5080をベースとし、監査の際の判断尺度となる「情報セキュリティ管理基準」と、監査人の行為規範を示す「情報セキュリティ監査基準」の2つがある。前者はJIX X 5080ベースではあるが、不正アクセス対策基準や既存の社内管理規定など、他の基準を織り込んでカスタマイズされるもの。つまり、業種ごと、その組織ごとに独自に策定することが望ましいという。経済産業省では、2つの基準それぞれについてガイドラインを示すとともに、1つの指針として「電子政府情報セキュリティ管理基準モデル」「同監査基準モデル」を提示していく。
もう一方の柱となるのは、この監査を行う主体――監査法人やセキュリティ専業の企業、システムインテグレータなど――だ。経済産業省では、これら主体が任意に登録できる「情報セキュリティ監査企業台帳」を創設し、監査を受ける側が同省Webサイトなどで情報を確認できるようにする。この登録は毎年度ごとに行い、その際に前年度の監査実績や概要などを申告する仕組みだ。これら内容に虚偽があった場合、登録は抹消される。また、全国一律の台帳だけでなく、地域ごとの台帳も作成し、地方市場ごとにサービスを展開するための基盤にしていくという。
これら監査主体の質を確保するため、実際に監査作業に当たる人物には「専門の資格があることが望ましい」とした。ただし、具体的にどの資格を対象とするかについては、まだ検討課題だという。また、上記の情報セキュリティ監査企業台帳に記載された企業が一堂に集まり、監査担当者に対する継続教育や監査企業のピアレビュー、ノウハウ蓄積などを行う場を整備することも検討するという。
関連記事
ISMS適合性評価制度認証基準の次バージョン、PDCAサイクルや経営陣の責任を盛り込む関連リンク
日本ネットワークセキュリティ協会経済産業省[高橋睦美,ITmedia]
